본 내용은 AWS 세미나 내용을 듣고 개인적으로 테스트하며 정리한 내용입니다.
내용이 틀릴수 있습니다.
GWLB
게이트웨이 역할을 하는 로드 밸런서이다.
보안장비 구축 시 게이트웨이 역할을 한다.
EndPoint - EndPoint Service로 구축법이다.
서비스를 위한 부분은 아니며 내부적으로 통신 하는 법이 설명 된다.
트랜짓 게이트웨이를 사용하지 않는 경우이다.
실무에서는 트랜짓 게이트웨이를 사용하는 경우가 많으므로 구성과 라우팅 설정만 참고하도록 한다.
<1> EndPoint - EndPoint Service로 구축해보자
<2> 들어오는것 동작 ?
<3> 나가는것 동작 ?
<4> GWLB VPC 구성
<5> 서비스 VPC인 VPC 1 구성
<6> 추가 자료
<1> EndPoint - EndPoint Service로 구축해보자
이미지 출처 : gitbook
동작 확인
유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.
라우팅 테이블을 확인하자!!!
<2> 들어오는것 동작 ?
1
외부 사용자가 VPC1 서비스 Private EC2로 가려고 IGW로 가면
IGW-Ingress 라우팅 테이블 생성
엣지 연결을 IGW와 연결 필요
2
IGW-Ingress 라우팅 테이블에서
서비스 VPC인 VPC1 서버의 Private subnet IP 블럭에 대해 EP로 가도록 설정
3
Endpoint 는 미리 2개 만들어 놓아야 한다.
AZ 별 Endpoint 필요. (Subnet별 Endpoint)
이름별 서비스 찾기 > Endpoint Service명을 찾아서 생성한다.
// GWLB VPC에 미리 Endpoint Service를 생성해야, Endpoint를 만들수 있다.
4
VPC1 EP는 GWLB VPC의 EPS로 간다.
-> GWLB -> Network Firewall 을 거친다.
0.0.0.0/0 Endpoint 라우팅으로 다시 VPC1 Private Subnet EC2로 간다.
<3> 나가는것 동작 ?
1
VPC1 서비스 Private Subnet에 EC2 는 0.0.0.0/0 은 EP로 간다.
모두 EP를 거친다.
2
EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다..
GWLB VPC 라우팅 테이블은?
0.0.0.0/0 EP 이다.
3
다시 VPC1로 오면
VPC1의 IGW를 통해 외부로 나간다.
0.0.0.0/0 IGW 이다.
EP가 있는 public Subnet의 라우팅 테이블은 0.0.0.0/0 IGW 이다.
유입과 유출 모두 서비스 VPC1의 IGW를 사용하는 방법이다.
<4> GWLB VPC 구성
1
서비스 VPC1 구성과 GWLB VPC구성 2개로 나누어 구성된다.
서비스 VPC1 (Endpoint) -- GWLB VPC(Endpoint Service VPC- GWLB- 제네브 UDP 6081 보안장비 )
2
Endpoint Service 를 만들고, EP가 Endpoint Service 를 연결 하는 방식이다.
https://brunch.co.kr/@topasvga/1339
3
VPC > Endpoint Serivce 생성
이름
gwlb1-ep-service
로드밸런서 유형
게이트 웨이 로드밸런서로 변경
4
새 로드 밸랜서 생성 > Gateway Load Balancer > 타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수
5
라우팅 테이블 0.0.0.0/0 eni 로 설정한다. 엔드포인트로 지정한다.
// 테스트 환경에서는 외부에서 접속 해야 하므로 0.0.0.0/0 은 igw로 설정한다.
6
참고 사이트
EP
https://brunch.co.kr/@topasvga/1316
7
EP-EPS 구성
https://brunch.co.kr/@topasvga/1343
<5> 서비스 VPC인 VPC 1 구성
라우팅 테이블을 확인하자!!!
유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.
1
유입 동작 ?
외부 사용자가 VPC1 서비스 Private EC2로 가려고 IGW로 가면
IGW 라우팅 테이블은 EP로 가도록 설정한다.
VPC1 EP는 GWLB VPC의 EPS로 가서 Network Firewall 을 거친다.
이후 다시 VPC1 Private Subnet EC2로 간다.
2
유출 동작 ?
VPC1 서비스 Private Subnet에 EC2의 0.0.0.0/0 은 EP로 간다.
EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다.
이후 VPC1 서비스 IGW를 통해 외부로 나간다.
라우팅 테이블을 확인하자!!!
유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.
3
Endpoint를 설정한다.
Public Subnet에 설정한다.
Public Subnet 1, Public Subnet 2
4
라우팅 테이블 확인?
IGW 라우팅 테이블 확인 = Ingress Routing 테이블 확인
IGW 라우팅 테이블 > Edge Associations > Edit Edge associations > igw attach 한다.
IGW 라우팅 테이블은 Private Subnet에 EC2로 가려면 EP로 가도록 라우팅 잡는다.
Private subnet1 10.200.1.0/24 EP (AZ-A)로 라우팅 잡는다.
Private subnet2 10.200.2.0/24 EP (AZ-C)로 라우팅 잡는다.
https://www.youtube.com/watch?v=r6mEnUTTkMQ
5
Private subnet의 라우팅 테이블 확인
EC2가 있는 Private subnet은 0.0.0.0/0 vpce-xxxxxxxxx EP로 라우팅을 잡는다.
무조건 EP로 보내면 되는 것이다.
6
참고 사이트
Ingress Routing, Private subnet 라우팅 설정 참고
https://brunch.co.kr/@topasvga/1536
7
기타
CF사용 시 PrivateToGWLB 0.0.0.0/0로 설정
같이 볼만한 자료
https://brunch.co.kr/@topasvga/1795
감사합니다.